安全分析报告:
安全分数
安全分数 64/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
1
用户/设备跟踪器
调研结果
高危
0
中危
8
信息
2
安全
2
关注
1
中危 应用程序数据存在被泄露的风险
未设置[android:allowBackup]标志 这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.DUMP [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: w2/z0.java, line(s) 46
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: d5/a.java, line(s) 3 d5/b.java, line(s) 3 e5/a.java, line(s) 3 r1/v.java, line(s) 10 x2/s0.java, line(s) 14
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: q0/a.java, line(s) 4,5,6,7,96,121
中危 应用程序包含隐私跟踪程序
此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 AdMob广告平台的=> "com.google.android.gms.ads.APPLICATION_ID" : "ca-app-pub-7164217328635358~4326209548" "firebase_database_url" : "https://smartunitconverter-46f3c.firebaseio.com" "google_api_key" : "AIzaSyAdKXtz1TguwTfDBcNfivzvKYqzcy12Iko" "google_app_id" : "1:296463719121:android:6d424487bda7a83b1643f0" "google_crash_reporting_api_key" : "AIzaSyAdKXtz1TguwTfDBcNfivzvKYqzcy12Iko" VGhpcyBpcyB0aGUgcHJlZml4IGZvciBCaWdJbnRlZ2Vy B3EEABB8EE11C2BE770B684D95219ECB
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: b0/d.java, line(s) 27,31,35 c/e.java, line(s) 1483,960,966,1872,2106,1542 c/g.java, line(s) 162 c/h.java, line(s) 49,59,74,84,101,113,125,134,147,161,173 c/j.java, line(s) 65,111 c3/a.java, line(s) 75,79 d/a.java, line(s) 102 e0/c.java, line(s) 19 f0/a0.java, line(s) 376,394,129,141,148,157,44,63,367 f0/b.java, line(s) 64 f0/f.java, line(s) 21,30 f0/h.java, line(s) 14 f0/s.java, line(s) 823 f0/t.java, line(s) 19 f0/v.java, line(s) 19,34,55,82,103,124,145 f3/i.java, line(s) 31,22,38,45,30,37,44,51,52,58,59 g/g.java, line(s) 152,185,262 g0/b.java, line(s) 179 h/c.java, line(s) 277 h2/e.java, line(s) 112,158,165 h2/j.java, line(s) 67,33,110,116,125,128 h2/k.java, line(s) 41 h2/o.java, line(s) 29 h2/v.java, line(s) 44 h2/z.java, line(s) 23 j2/a0.java, line(s) 51 j3/e.java, line(s) 290,229,233,245 k2/a.java, line(s) 18 k2/a0.java, line(s) 98,101,130,133,136,167,172 k2/c.java, line(s) 212,230,461,465,469,475 k2/c1.java, line(s) 53,58 k2/d0.java, line(s) 26 k2/f1.java, line(s) 50 k2/p0.java, line(s) 35 k2/s0.java, line(s) 101 k2/t0.java, line(s) 28 k2/u0.java, line(s) 29 k2/w0.java, line(s) 45 l3/g.java, line(s) 34,41,44,53,87 l3/o.java, line(s) 128 m4/a.java, line(s) 42 m4/d.java, line(s) 21 n1/a.java, line(s) 130,166,210 n1/d.java, line(s) 23,41,50,60 n2/a.java, line(s) 57,68 n4/d.java, line(s) 155 o/d.java, line(s) 208 o2/f.java, line(s) 16 o4/l.java, line(s) 79 p0/c.java, line(s) 37,40,52,30,44 p4/i.java, line(s) 14,24,33 r2/b.java, line(s) 36,100 s0/a.java, line(s) 90 t/a.java, line(s) 96,99 t1/n1.java, line(s) 11,17,19,28 t2/l.java, line(s) 52,58,70,103,110 v/b.java, line(s) 91,247 v/d.java, line(s) 25,34 v/f.java, line(s) 27 v/j.java, line(s) 63,80,87 v/o.java, line(s) 72 w/a.java, line(s) 56 w/b.java, line(s) 66 w/f.java, line(s) 236,131,140 w0/j.java, line(s) 24,26,35,37,46,48,57,59,68,70 w2/b0.java, line(s) 21 w2/d1.java, line(s) 40 w2/g2.java, line(s) 314 w2/h0.java, line(s) 33 w2/l.java, line(s) 58,63,76,86 w2/n.java, line(s) 46,49,57,60,73,76 w2/o0.java, line(s) 52,57,63,204 w2/s1.java, line(s) 57,74,82,91 w2/u1.java, line(s) 21,23 w3/b.java, line(s) 10,14,28,32 x/c.java, line(s) 391,396 x/e.java, line(s) 84 x/f.java, line(s) 41,76 x/g.java, line(s) 56,114 x/j.java, line(s) 96,99 x/k.java, line(s) 96 x2/h.java, line(s) 21 x2/s0.java, line(s) 70,56,67,76,94,100 x2/u.java, line(s) 60 y/a.java, line(s) 63,72,130,140 y/e.java, line(s) 36,68
信息 应用与Firebase数据库通信
该应用与位于 https://smartunitconverter-46f3c.firebaseio.com 的 Firebase 数据库进行通信
安全 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: f3/w.java, line(s) 24
安全 Firebase远程配置已禁用
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/296463719121/namespaces/firebase:fetch?key=AIzaSyAdKXtz1TguwTfDBcNfivzvKYqzcy12Iko ) 已禁用。响应内容如下所示:
{
"state": "NO_TEMPLATE"
}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pagead2.googlesyndication.com) 通信。
{'ip': '180.163.150.38', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}